移動APP存重大安全隱患，用戶數據未啓用HTTPS加密

　　剛剛過去的2015「雙十一」，天貓最終以912.17億元的交易額創下驚人紀錄。值得注意的是，天貓移動端交易額爲626億元，佔比達68.67%，遠超PC端交易規模。這預示着電子商務的移動時代真正到來，移動端正式成爲與PC端並駕齊驅的主流渠道。到目前爲止，以天貓爲表明的在線購物市場及以攜程爲表明的在線旅遊市場，都出現移動端交易量快速增加的趨勢。

　　移動互聯網火熱，APP使用量呈現爆發式增加，但移動APP安全卻存在巨大的安全隱患。沃通CA針對一些熱門APP檢測的綜合結果顯示，90%以上的APP未使用HTTPS加密鏈接;已啓用HTTPS鏈接的頁面，98%不校驗證書鏈和證書籤發者，甚至不驗證證書域名是否匹配。本文以主流在線購物和在線旅遊APP的檢測結果爲例，從用戶數據傳輸安全角度，探討APP安全問題。

　　沃通CA互聯網安全監測中心對主流在線購物和在線旅遊APP進行檢測發現：

　　Ÿ攜程、藝龍APP均全站未啓用HTTPS加密，超千萬用戶數據HTTP明文「裸奔」;

　　Ÿ天貓APP的HTTPS鏈接沒有校驗證書鏈和證書籤發者，極容易被黑客劫持加密流量，竊取用戶名密碼以及銀行卡號等機密信息;

　　Ÿ途牛、阿里旅行等在線旅遊APP，HTTPS鏈接均沒有校驗證書鏈和證書籤發者。

　　

 

　　攜程APP超千萬用戶數據明文「裸奔」

　　比達諮詢2015年4月手機APP用戶監測數據顯示，攜程APP月活躍用戶數超1900萬，藝龍APP月活躍用戶近400萬，但這兩款APP都採用全站HTTP明文傳輸協議。這意味着，攜程、藝龍APP上超兩千萬用戶數據都以明文方式在互聯網上「裸奔」，經過簡單的代理抓包工具就能夠捕獲APP傳輸數據，其中可能包含用戶的帳號密碼、身份證號、手機號、真實姓名、酒店預訂記錄、出行記錄等隱私信息。

　　

 

　　

 

　　攜程APP全站明文傳輸

　　

 

　　藝龍APP傳輸數據，明文泄漏用戶手機號

　　天貓APP的HTTPS不校驗證書鏈和證書頒發者

　　阿里旗下的淘寶和天貓均在今年啓用了全站HTTPS加密，天貓APP除了部分頁面和CDN外，基本上實現了全站HTTPS加密訪問。但通過測試發現，天貓APP的HTTPS根本不會校驗證書鏈和證書頒發者，經過簡單的DNS劫持和自簽證書就可以獲取到用戶APP傳輸的加密數據。

　　從下面2張圖能夠看出，經過自籤SSL證書和虛假服務器，對天貓APP進行ARP欺騙和DNS欺騙，就可使天貓APP客戶端與虛假服務器成功創建鏈接，並使用自籤SSL證書加密傳輸數據。這個漏洞一旦被黑客利用，將對用戶隱私和資金安全形成嚴重威脅。

　　

 

　　天貓APP與虛假服務器成功創建鏈接

　　

 

　　天貓APP與虛假服務器完成SSL握手

　　主流旅遊APP僅部分頁面啓用HTTPS

　　途牛、阿里旅行等APP都只在部分頁面啓用HTTPS，其餘頁面均爲明文傳輸;HTTPS均沒有校驗證書鏈和證書頒發者，一樣能夠經過欺騙手段，利用自籤SSL證書和虛假服務器獲取到用戶APP傳輸的加密數據。

　　

 

　　途牛APP與虛假服務器成功創建鏈接

　　

 

　　阿里旅行APP與虛假服務器成功創建鏈接

　　超過90%以上APP未啓用HTTPS加密

　　除了上述在線購物和在線旅遊APP之外，沃通CA還對其餘熱門APP程序進行了檢測，其中包括網銀APP。綜合結果顯示，超過90%以上的APP未使用HTTPS加密鏈接;已啓用HTTPS鏈接的頁面中，98%不校驗證書鏈和證書頒發者，甚至不驗證證書域名是否匹配。

　　總結

　　SSL加密認證技術是互聯網最基礎的安全防禦措施，全部APP開發者都應重視。蘋果iOS9系統已經明確要求APP強制升級使用HTTPS協議，可見HTTP明文傳輸的安全問題已經異常嚴重。沃通CA呼籲： APP開發者必定要爲APP服務器部署全球信任的SSL證書，經過HTTPS加密防止數據泄露，經過SSL認證防止中間人欺騙和劫持。沃通CA提供免費SSL證書(freessl.wosign.com)，讓全部APP開發者零成本啓用HTTPS加密;同時提供企業驗證型OV SSL證書和擴展驗證型EV SSL證書，爲開發者提供更嚴格的身份認證及更高的安全防禦。登陸沃通官網(www.wosign.com)瞭解SSL證書，登陸沃通數字證書商店(buy.wosign.com)在線申請。

　　剛剛過去的2015「雙十一」，天貓最終以912.17億元的交易額創下驚人紀錄。值得注意的是，天貓移動端交易額爲626億元，佔比達68.67%，遠 超PC端交易規模。這預示着電子商務的移動時代真正到來，移動端正式成爲與PC端並駕齊驅的主流渠道。到目前爲止，以天貓爲表明的在線購物市場及以攜程爲 表明的在線旅遊市場，都出現移動端交易量快速增加的趨勢。